Varias vulnerabilidades críticas que afectan a productos de Adobe, Fortinet, Microsoft y SAP han sido el centro de atención en las actualizaciones de seguridad (Patch Tuesday) de abril.
Encabezando la lista se encuentra una vulnerabilidad de inyección SQL que afecta a SAP Business Planning and Consolidation y SAP Business Warehouse ( CVE-2026-27681 , puntuación CVSS: 9,9) y que podría resultar en la ejecución de comandos arbitrarios de la base de datos.
«El programa ABAP vulnerable permite que un usuario con pocos privilegios cargue un archivo con sentencias SQL arbitrarias que luego se ejecutarán», dijo Onapsis en un aviso.
En un posible escenario de ataque, un atacante podría abusar de la funcionalidad de carga afectada para ejecutar consultas SQL maliciosas contra los almacenes de datos BW/BPC, extraer datos confidenciales y eliminar o dañar el contenido de la base de datos.
«Las cifras de planificación manipuladas, los informes defectuosos o la eliminación de datos de consolidación pueden perjudicar los procesos de cierre, los informes ejecutivos y la planificación operativa», afirmó Pathlock . «En manos equivocadas, este problema también abre la puerta al robo de datos encubierto y a la interrupción manifiesta de la actividad empresarial».
Otra vulnerabilidad de seguridad que merece ser mencionada es una ejecución remota de código de gravedad crítica en Adobe Acrobat Reader ( CVE-2026-34621 , puntuación CVSS: 8,6) que ha sido objeto de explotación activa.
Dicho esto, aún existen muchas incógnitas. No está claro cuántas personas se han visto afectadas por la campaña de piratería informática. Tampoco hay información sobre quién está detrás de esta actividad, a quién va dirigida ni cuáles podrían ser sus motivos.
Adobe también ha corregido cinco fallos críticos en las versiones 2025 y 2023 de ColdFusion que, de ser explotados con éxito, podrían provocar la ejecución de código arbitrario, la denegación de servicio de la aplicación, la lectura arbitraria del sistema de archivos y la elusión de las funciones de seguridad.
Las vulnerabilidades se enumeran a continuación:
- CVE-2026-34619 (puntuación CVSS: 7.7) – Una vulnerabilidad de recorrido de ruta que permite eludir las funciones de seguridad.
- CVE-2026-27304 (puntuación CVSS: 9.3) – Una vulnerabilidad de validación de entrada incorrecta que conduce a la ejecución de código arbitrario.
- CVE-2026-27305 (puntuación CVSS: 8.6) – Una vulnerabilidad de recorrido de ruta que permite la lectura arbitraria del sistema de archivos.
- CVE-2026-27282 (puntuación CVSS: 7,5) – Una vulnerabilidad de validación de entrada incorrecta que permite eludir las funciones de seguridad.
- CVE-2026-27306 (puntuación CVSS: 8.4) – Una vulnerabilidad de validación de entrada incorrecta que conduce a la ejecución de código arbitrario.
También se han publicado correcciones para dos vulnerabilidades críticas de FortiSandbox que podrían provocar la omisión de la autenticación y la ejecución de código.
- CVE-2026-39813 (puntuación CVSS: 9.1): Vulnerabilidad de recorrido de ruta en la API JRPC de FortiSandbox que podría permitir a un atacante no autenticado eludir la autenticación mediante solicitudes HTTP especialmente diseñadas. (Corregido en las versiones 4.4.9 y 5.0.6)
- CVE-2026-39808 (puntuación CVSS: 9.1): Vulnerabilidad de inyección de comandos del sistema operativo en FortiSandbox que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados mediante solicitudes HTTP manipuladas. (Corregido en la versión 4.4.9)
Este avance se produce después de que Microsoft solucionara la asombrosa cifra de 169 fallos de seguridad, incluida una vulnerabilidad de suplantación de identidad que afectaba a Microsoft SharePoint Server (CVE-2026-32201, puntuación CVSS: 6,5) y que podría permitir a un atacante acceder a información confidencial. La compañía afirmó que esta vulnerabilidad está siendo explotada activamente, aunque no se han proporcionado detalles sobre su explotación en la práctica.
elincuentes que buscan robar datos, en particular datos que pueden utilizarse para exigir el pago de rescates mediante técnicas de doble extorsión, amenazando con liberar los datos robados si no se realiza el pago», dijo Kev Breen, director sénior de investigación de amenazas en Immersive.
«Una preocupación secundaria es que los ciberdelincuentes con acceso a los servicios de SharePoint podrían desplegar documentos maliciosos o reemplazar documentos legítimos con versiones infectadas que les permitirían propagarse a otros equipos o víctimas que se desplacen lateralmente por la organización».
Fuente y redacción: thehackernews.com